Ankündigung

Einklappen
Keine Ankündigung bisher.

Online-Broker im Vergleich und Praxistest

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    Weiß nicht ob es im Zweifelsfall was bringt, aber bei Android kann man mittlerweile mehrere Benutzerumgebungen anlegen. Jede hat ihre eigenen Apps und Daten. Ich nutze das ab und an für Apps, die zu viel Interesse am Adressbuch haben. Eine Möglichkeit wäre die TAN App in einer zweiten Benutzerumgebung zu installieren. Bei einem Hackerangriff muss dieser m.E. zumindest vom zweiten Profil wissen, um den Angriff erfolgreich durchzuführen.

    Kommentar


    Zitat von Buxi Hier:15.04.2019, 16:26 Beitrag anzeigen
    asche und @dogbert:

    Mag ja sein, das es mit zwei Geräten sicherer ist. Ob ich im Zweifel aber das geringe Restrisiko eingehen es mit einem zu machen, möchte ich doch sehr gern selber entscheiden. Zumal das, zumindes für mich, ja sowieso die Ausnahme ist, wenn man unterwegs ist.
    Und codi macht letztendlich aus dem TAN-Generator eine quasi zwagsweise kostenpflichtige Maßnahme, sofern man die "mobile App" benutzen möchte, da es technisch nicht anders geht. Und das sollte man vorher auch kommunizieren. Und mal ehrlich: Das ist doch nicht mehr zeitgemäß.
    Ich bleibe jedenfalls solange es geht bei den TAN-Listen. Die passen einfach besser in die Tasche, als diverse Kleingeräte und gehen auch nicht so schnell kaputt...
    Ich bin da etwas sensibilisiert seitdem meine Konto Zugangsdaten gehacked worden sind, ich vermute mit einem Keylogger der über einen Trojaner auf meinem PC installiert war.
    Bis dahin dachte ich übrigens auch das passiert nur anderen.
    Derjenige hat dann die Postadresse geändert und eine neue TAN Liste an diese Adresse schicken lassen.
    Da war ich dann ziemlich dankbar, dass dann ein Mitarbeiter der Comdirect einen Kontrollanruf gemacht hat, weil die anscheinend einen Alarm für diese Kombi haben.

    TAN Listen sind definitiv unsicher im Vergleich zu jedem anderen Verfahren. Es ist natürlich jedem überlassen für wie wichtig er diese Aspekte hält. Der möglicherweise entstehende Schaden sollte dann aber auch selbst getragen werden.
    Zuletzt geändert von dogbert; 15.04.2019, 17:56.

    Kommentar


    Zitat von dogbert Hier:15.04.2019, 16:02 Beitrag anzeigen
    Ist es nicht sogar aus Sicherheitstechnischen Gründen angeraten 2 verschienene Geräte zu benutzen ?
    Also, PSD2 schreibt rechtlich bindend vor, daß ab Mitte Sept.2019 zwingend alle iTAN-Listen von den Banken deaktiviert werden.
    Des weiteren ist zwingend vorgeschrieben, daß der Nutzer, wie "Asche" es schon andeutete, auf 2 technisch getrennten Kanälen sein Banking betreibt, d.h. auf einem Gerät (z.B. PC oder Tablet) das eigentliche Banking, auf einem separaten Gerät (in diesem Fall z.B. Smartphone oder TAN-Generator) die TAN erzeugt.

    Hier gibt es von der rechtlichen Seite keine Wünsche, die der User äußern kann, wie er es denn gerne hätte.
    Und wenn derzeit immer noch Bankservicemitarbeiter schreiben/antworten "Es würde dran gearbeitet, daß beide Verfahren (Banking & TAN-Erzeugung) in einer APP fürs Smartphone zusammengefaßt werden." dann sind die schlichtweg nicht informiert.

    P.S.:
    Die TAN-Generatoren sind schon technisch komplizierter. Es gibt welche mit Tastatur, d.h. Möglichkeit eine Push-TAN zu erzeugen, wenn QR-Code/Foto nicht gescannt werden kann, und welche ohne Tastatur. Dann scheint es noch welche mit und ohne Bankingkarten Leseschlitz zu geben. Und je nach Firmware (FW) akzeptieren manche nur die Bankeigene Karte und nicht die Karte eines fremden Instituts, sind also proprietär. Ist so ähnlich wie die Problematik mit den SIM-lockfreien Handys. Dann läßt sich eine begrenzte Anzahl verschiedener Bankkarten (ca. 5-10) nur auf einem ("SIMlockfreien") TAN-Genarator anmelden/registrieren.
    Ich möchte hier aber keinen technischen Blog aufmachen.
    Lange Rede, langer Sinn:
    Es macht Sinn, sich von einem unabhängigen Lieferanten (z.B. ReinerSCT usw.) einen "SIMlockfreien" TAN-Generator zu besorgen, damit man dieses Gerät bei möglichst vielen Banken nutzen kann. Das ist auch eine FW-Sache, also möglichst lange warten, bis man ein Gerät mit brandaktueller FW erhält, damit man die größte Flexibilität hat.
    PPS:
    Und Nein, ich arbeite nicht für ReinerSCT, kenn mich aber ein wenig mit der Technik aus.

    Kommentar


    Bondfreak : Könntest du mir als Wissender ein Gerät empfehlen, welches du als relativ zukunftssicher einstufst? Das Ding darf gern etwas teurer sein. Vielleicht gibt es dann ja auch eine Upgrade-Möglichkeit für die FM?! Danke!

    Kommentar


    Zitat von dogbert Hier:15.04.2019, 17:43 Beitrag anzeigen
    Ich bin da etwas sensibilisiert seitdem meine Konto Zugangsdaten gehacked worden sind, ich vermute mit einem Keylogger der über einen Trojaner auf meinem PC installiert war.
    Bis dahin dachte ich übrigens auch das passiert nur anderen.
    Derjenige hat dann die Postadresse geändert und eine neue TAN Liste an diese Adresse schicken lassen.
    Da war ich dann ziemlich dankbar, dass dann ein Mitarbeiter der Comdirect einen Kontrollanruf gemacht hat, weil die anscheinend einen Alarm für diese Kombi haben.
    TAN Listen sind definitiv unsicher im Vergleich zu jedem anderen Verfahren. Es ist natürlich jedem überlassen für wie wichtig er diese Aspekte hält. Der möglicherweise entstehende Schaden sollte dann aber auch selbst getragen werden.
    ... will das keineswegs anzweifeln - aber eigentlich hätte das so nicht funktionieren dürfen.
    Man kann bei comdirect maximal zwei TAN-Listen bestellen, eine aktuelle, eine in Reserve. Noch eine weitere anfordern ist nicht möglich.
    Um die Postanschrift oder pers. Daten zu ändern, braucht es eine gültige TAN von der aktuellen Liste.
    Dito wenn man eine TAN-Liste entwerten oder sperren oder nach Ablauf oder Entwertung eine neue bestellen will.
    Ein Keylogger kann wohl Zugangsdaten abgreifen - eine gültige TAN aber nicht, weil die im Moment der Eingabebestätigung schon wieder entwertet ist.

    Foto-TAN halte ich für weniger sicher, weil Du kriegst jeweils eine gültige TAN ja lediglich verpixelt, aber sehr wohl abgreifbar online zugeschickt. Die papierne TAN-Liste kann niemand digital angreifen oder entschlüsseln.

    Für M-TAN gilt mE das Gleiche, weil Smartfons und Apps mE noch deutlich weniger "sicher" sind als PCs mit gepflegter Sicherheits- und Banking-Software - und weil die meisten mobil wahrscheinlich aus Bequemlichkeit "One-Way" über nur ein Mobilgerät agieren.

    Da scheinen mir "andere Verfahren" wie Code-Cards oder TAN-Generatoren mit/ohne Kartenleser deutlich sinnvoller. Nur kann man im Einzelfall eben nicht auswählen, sondern muss das nehmen was die jeweilige Bank anbietet. Kompatibel mit anderen Bank- oder extern zukaufbaren Systemen scheint das alles jeweils nur bedingt zu sein.

    Das "Mini-Lesegerät" von comdirect scheint mir jedenfalls eine absolut primitive Lösung - zumal man heute schon jedes neue Türschloss mit Fingerprint sichern kann. Was wiederum nichts nutzt, wenn jemand statt digital schlicht analog mit Kuhfuß oder Ramme agiert. Und kostet inzwischen das Doppelte wie ein Reiner "TANJack".

    Könntest du mir als Wissender ein Gerät empfehlen, welches du als relativ zukunftssicher einstufst? Das Ding darf gern etwas teurer sein.
    ... Antwort würde mich auch interessieren - insbesondere auch was Kompatibilität und "Stressfestigkeit" im Notfall angeht.

    Kommentar


    Zitat von Al Bondy Hier:16.04.2019, 08:44 Beitrag anzeigen
    ... Foto-TAN halte ich für weniger sicher, weil Du kriegst jeweils eine gültige TAN ja lediglich verpixelt, aber sehr wohl abgreifbar online zugeschickt. Die papierne TAN-Liste kann niemand digital angreifen oder entschlüsseln.
    Entsteht die höhere Sicherheit einer Foto-TAN nicht dadurch, dass sie nur für dieses Geschäft generiert wurde, sie also nicht bspl. für einen Verkauf eingesetzt werden kann, wenn sie für einen Kauf generiert wurde?

    Kommentar


    Zitat von Al Bondy Hier:16.04.2019, 08:44 Beitrag anzeigen

    ... will das keineswegs anzweifeln - aber eigentlich hätte das so nicht funktionieren dürfen.
    ...
    .
    Das ist nett, weil es trotzdem genau so war. Die Comdi hat ihr Verfahren seitdem geändert.
    Allerdings hatte ich selbst auch zu diesem Zeitpunkt gar keine TAN mehr verwendet, man konnte mehrere Verfahren auswählen.

    Kommentar


    Zitat von dogbert Hier:16.04.2019, 09:23 Beitrag anzeigen
    Das ist nett, weil es trotzdem genau so war. Die Comdi hat ihr Verfahren seitdem geändert.
    Allerdings hatte ich selbst auch zu diesem Zeitpunkt gar keine TAN mehr verwendet, man konnte mehrere Verfahren auswählen.
    ... deswegen hatte ich das "eigentlich" betont - offensichtlich haben sie da deutlich nachgebessert.

    Ich nutze alle drei von comdirect angebotenen Verfahren, finde das aber zukünftig ex iTan nicht mehr zufriedenstellend und suche -ohne großartige Fachkenntnisse- einen besseren, irgendwie allgemein kompatiblen und vor allem notfalls schnelleren Weg. Wenn man mehrere Depots bei verschiedenen Banken/Brokern nutzt, artet das manchmal schon in Stress und Gehampel aus, weil man diverse Verfahren mit diversen Geräten in kürzester Zeit verwenden muss. Da war "schnell auf iTan umschalten" immer noch der einfachste Weg.

    Kommentar


    Zitat von Bondfreak Hier:15.04.2019, 21:16 Beitrag anzeigen
    Also, PSD2 schreibt rechtlich bindend vor, daß ab Mitte Sept.2019 zwingend alle iTAN-Listen von den Banken deaktiviert werden.

    .
    Kannst Du für diese Aussage auch eine Quelle benennen ?

    Dagegen von der Homepage der BAFIN :

    Das iTAN-Verfahren ist darum bis zum 14. September 2019 abzuschaffen, zumindest für die Auslösung elektronischer Fernzahlungen. Für die Beauftragung von Wertpapiergeschäften kann es beispielsweise weiter verwendet werden, da diese nicht vom Anwendungsbereich der PSD 2 erfasst sind.

    http://www.bafin.de/SharedDocs/Veroe...fizierung.html

    Kommentar


    Zitat von Alias Hier:16.04.2019, 10:42 Beitrag anzeigen
    Kannst Du für diese Aussage auch eine Quelle benennen ?
    Dagegen von der Homepage der BAFIN :
    Das iTAN-Verfahren ist darum bis zum 14. September 2019 abzuschaffen, zumindest für die Auslösung elektronischer Fernzahlungen. Für die Beauftragung von Wertpapiergeschäften kann es beispielsweise weiter verwendet werden, da diese nicht vom Anwendungsbereich der PSD 2 erfasst sind.
    http://www.bafin.de/SharedDocs/Veroe...fizierung.html
    Jetzt fange ich mal hinten an.
    Du beantwortest Deine Frage ja schon selber.
    PSD2 schreibt verbindlich nur für den Zahlungsverkehr (nicht für WP-Transaktionen) die Umstellung auf andere TAN-Verfahren vor.
    Aber:
    Die Banken nutzen diese Gelegenheit, um uns Kunden weiß zu machen, daß nun alle Transaktionsautorisierungen umgestellt werden müssen. Das hat natürlich auch was mit der Praktikabilität für die Banken zu tun. Für die IT ist es einfacher eine neue Autorisierungsmethode für alle Transaktionen einzuführen.

    Des weiteren wird von vielen Banken auch behauptet, daß nun die mTAN nicht mehr erlaubt sei. Davon steht aber nichts in der PSD2 Verordnung.
    Auch hier machen sich es die Banken wieder einfacher. Wenn mit der neuen Handelsoberfläche wieder ein Autorisierungsverfahren wegfällt, gibt es weniger Programmierarbeit, sprich Aufwand/Kosten.
    Es wird bis 14.09.19 bestimmt etliche neue Software-Launches bei allen Handelsoberflächen geben; wir dürfen gespannt sein.

    Kommentar


    Zitat von Stift Hier:16.04.2019, 06:45 Beitrag anzeigen
    Bondfreak : Könntest du mir als Wissender ein Gerät empfehlen, welches du als relativ zukunftssicher einstufst? Das Ding darf gern etwas teurer sein. Vielleicht gibt es dann ja auch eine Upgrade-Möglichkeit für die FM?! Danke!
    Al Bondy... Antwort würde mich auch interessieren - insbesondere auch was Kompatibilität und "Stressfestigkeit" im Notfall angeht.
    Etliche Banker reden immer "nur" von der neuen fotoTAN, wissen aber häufig nicht, worüber sie reden. (Hab am Telefon schon die dollsten Sprüche gehört...)

    Sprich, man muß selber genau hinschauen, was für eine Art von TAN denn von der Bank gefordert wird.

    Man hat 3 optische Verfahren:
    - Flicker Code Generator: Handelsoberfläche generiert einen flackernden 5 Balkencode, der gescannt werden muß. (Serielle Datenübertragung, man muß also warten, bis alle Bits übertragen sind. Halte ich persönlich derzeit am sichersten.)
    - QR-Code Leser/TAN-Generator: Das sind die Quadrate mit den schwarz/weißen Pixeln, die man vom Postporto, Bundesbahntickets usw. kennt; statisches Bild.
    - fotoTAN Leser/Generator: Sieht ähnlich wie der QR-Code aus, nur mit farbigen Pixeln, statisches Bild.
    Die Terminologie ist nicht einheitlich!
    Jede Bank verwendet hierfür eigene Begriffe. (Flicker Code und QR-Code sind eigentlich sprachlich genormt.)

    Bzgl. der Einführung des "neuen" TAN-Verfahrens liegt der Fokus auf QR-Code und fotoTAN, wobei letztere davon häufig wieder von den Banken favorisiert wird.

    In der Regel ist es so und wird es so sein, daß ein TAN-Generator, der von der Bank verkauft wird, auch nur mit deren Handelsoberfläche läuft, insbesondere, wenn die Bank ihr eigenes Branding auf den Generator hat anbringen lassen. (Kein Allgemeinplatz, es wird immer löbliche Ausnahmen geben.)
    Um also flexibel zu sein, lohnt es sich den Generator bei einem Drittanbieter zu beziehen.

    Es gibt weltweit nur wenige Anbieter, da sicherheitsrelevante Technologie.
    z.B.: ReinerSCT, Furtwangen
    OneSpan,Chicago (ehemals VASCO) ---> z.B. die 'DigiPass' Geräte.
    Gemalto, Amsterdam.

    Dann sollte der TAN-Generator eine Tastatur haben. (Hat der Digipass760 von der Comerzbank schon mal nicht.)
    Die ist dafür da, daß wenn mal das optische Scannen des Codes mißlingt per Tastatur auf manuelles Handshake Verfahren umgeschaltet werden kann.

    Firmware-Upgrade:
    Das geht bei den Geräten nicht, da fest einprogrammiert. Ist aber kein prinzipieller Nachteil, wenn mal das Übertragunsprotokoll steht, dann bleibt das für Jahre bestehen.
    Was im worst case passieren kann ist, daß den Normungsgremien z.B. aus neuen Sicherheitserkenntnissen einfällt, daß die TAN-Generatoren upgedatet werden sollen/müssen. Das geht dann nur über neue Geräte.
    Ich warte daher bis kurz vor Schluß, bevor ich auf neue Geräte umsteige.

    Streßfestigkeit:
    Wenn das Gerät einigermaßen solide gefertigt ist, hält das länger als eine Lithium Batterie.
    Absolut keine Angriffsmöglichkeit für Viren.
    Es kann aber passieren, daß z.B. das Display abraucht, wenn man gerade tradet.

    Also als Reserve grundsätzlich ein 2. Gerät plus einen frischen Batteriensatz.
    Mir ist nach knapp 15 Jahren der Sparkassen FlickerCode Leser abgeraucht, habe mir dann ein Gerät von ReinerSCT gekauft.

    P.S.:
    Der Kauf über Drittanbieter ist leider keine Garantie, daß solch ein Generator mit beliebigen Banken funktioniert. Die Wahrscheinlichkeit, daß er mit mehreren Instituten geht, ist aber hoch.

    Kommentar


    Al Bondy...Foto-TAN halte ich für weniger sicher, weil Du kriegst jeweils eine gültige TAN ja lediglich verpixelt, aber sehr wohl abgreifbar online zugeschickt. Die papierne TAN-Liste kann niemand digital angreifen oder entschlüsseln.
    Eben, wenn man in einem Internetcafé sitzt und Online-Banking macht, kann eine manipulierte Überwachungskamera den QR-Code bzw. fotoTAN aufnehmen und an den Hacker weitersenden. (wobei Internetcafé an sich schon töricht ist...)
    Mit FlickerCode wird das aber sehr schwierig, weil hier die Zeit als zusätzliche Codierung enthalten ist.

    Deine geliebte iTAN, ja, ist auch meine, aber es gibt laut Auskunft von Sicherheitsfirmen etliche unbedarfte User:
    Die scannen die iTAN-Liste ein und legen sie auf PC/Smartphone ab, um sie immer greifbar zu haben.
    Solche User geben an anrufende angebl. "Bank/Microsoft-Mitarbeiter" bereitwillig ihre iTAN telefonisch durch.
    Und dies müssen etliche sein, weil gerade solche Fälle immer zitiert werden...

    Kommentar


    Ich nutze 3 verschiedene TAN-Verfahren bei 3 verschiedenen Banken:
    - Sparkasse: chipTAN mit Flicker-Balken --> etwas unhandlich mit dem Chip Generator, wenn man unterwegs ist
    - Flatex: iTANcard mit Schiffeversenken
    - Consors: TAN Generator ohne Flicker

    Halte ich alle drei für sicher und problemlos - und alle besser als diese ollen TAN-Listen.
    Und mobileTAN lehne ich ab.

    Kommentar


    Bei Consors befindet sich die Steuerbescheinigung 2018 im "OnlineArchiv" (kein Versand). Wird evtl. nicht angezeigt, weil Datum 31.12.2018. Der zeitliche Korridor muss also vor dem 31.12.2018 beginnen. Evtl. als Dokumententyp "Steuerdokumente" wählen.

    Kommentar


    @ dkP
    Danke für die Info.

    Kommentar

Lädt...
X